ウクライナのエネルギー施設の機能妨害を狙った攻撃で、新たなマルウェアが展開されていたようだ。
ウクライナ政府のコンピューター緊急対応チーム(CERT-UA)によると、悪質なハッカーグループによって、高圧変電所を制御する産業インフラシステムの遮断と停止を目的としたマルウェア攻撃が仕掛けられたことを受け、「緊急措置」が取られた。
CERT-UAは、インフラの機能停止を狙った攻撃が現地時間4月8日夜に計画されていたが阻止したとしている。
今回CERT-UAを支援したセキュリティ企業ESETの分析によると、ハッカーグループ「Sandworm」が攻撃に関与している可能性があるという。
英国家サイバーセキュリティセンター(NCSC)、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国家安全保障局(NSA)などのサイバーセキュリティ機関は、これまでにもロシア軍参謀本部情報総局(GRU)がSandwormやこのグループによるその他の攻撃キャンペーンに関与している可能性があると指摘していた。
今回の攻撃では、Sandwormによる過去のキャンペーンでも利用された形式のマルウェアで、2015年にウクライナで大規模停電を引き起こしたとされている悪名高い「Industroyer」の亜種が使用されたとみられる。「Industroyer2」と名付けられた亜種は産業環境向けに設計された可能性がある。残された形跡の分析から、電力システムを狙った攻撃が数週間前から計画されていたとみられることが分かった。
攻撃者が、標的となった電力施設に最初に侵入した方法や、侵入後にITネットワークから産業用制御システム(ICS)ネットワークに移動した方法は現時点で不明だが、CERT-UAは、ネットワークへの最初の侵入が2月までに発生していたとしている。
攻撃ではIndustroyer2のほか、破壊的なマルウェア「CaddyWiper」の新バージョンが展開された。攻撃後の復旧プロセスを遅らせ、電力会社がICSコンソールの制御を取り戻せないようにすることを目的として仕掛けられたものだとESETはみている。
また、Industroyer2に感染したマシンにもCaddyWiperが展開されているという。Industroyer2の形跡を隠蔽するための試みである可能性がある。
ESETの研究者グループは次のように説明した。「ウクライナは再び、重要インフラを標的とするサイバー攻撃の渦中にある。今回の新たなIndustroyerキャンペーンの前には、ウクライナのさまざまなセクターを標的とした複数のワイパー攻撃が続いていた」
サイバーセキュリティの専門家は、ロシアのウクライナ侵攻前後にウクライナの組織に対するサイバー攻撃で使用された複数形式のマルウェアを確認している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
